CN107204963A - 云计算模式下的高可靠性web安全防护实现方法 - Google Patents
云计算模式下的高可靠性web安全防护实现方法 Download PDFInfo
- Publication number
- CN107204963A CN107204963A CN201610154653.4A CN201610154653A CN107204963A CN 107204963 A CN107204963 A CN 107204963A CN 201610154653 A CN201610154653 A CN 201610154653A CN 107204963 A CN107204963 A CN 107204963A
- Authority
- CN
- China
- Prior art keywords
- waf
- cloud
- security protection
- cloud waf
- high reliability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Abstract
本发明公开了云计算模式下的高可靠性WEB安全防护实现方法包括:在云平台部署WA以创建云WAF;通过云端智能监控机制结合云WAF管理器进行双重监控;进行故障服务器上的云WAF的智能迁移;进行云WAF进程故障后的动态重建;进行故障云WAF的不中断服务;在云WAF所在的物理服务器出现故障,能够通过云平台的迁移能力,将安全防护业务迁移至合适的物理服务器,持续提供安全防护能力,在云WAF进程出现故障,能够在资源池中快速启动一个新的同样功能的云WAF,将配置重新下发或者通过共享配置的方式,能够加速创建新的云WAF,云WAF可以工作在HA模式,主备WAF可以无缝切换,保证上层业务的不中断服务。
Description
技术领域
本发明涉及互联网应用技术领域,尤其涉及云计算模式下的高可靠性WEB安全防护实现方法。
背景技术
传统的WEB应用防火墙(简称WAF),软件实现和硬件实体耦合紧密,并且在物理上跟后端防护WEB站点间的部署关系非常固定,WAF的可靠性依赖于硬件一体化的专用设备。在专用设备出现故障的时候,整体WEB防护失效,只有在维护人员重新安装、部署与配置后方可重新恢复WEB的防护,可靠性和灵活性很差。随着云计算和虚拟化技术的发展,越来越多的安全厂商把安全防护软件功能实现和依赖的操作系统打包成镜像,在云平台上可以灵活的启动和部署WAF,一定程度上解决了软硬件一体化WAF的部署困难的问题。
在云平台中通过将WAF以虚拟机的方式启动,虚拟机的状态依赖于所在物理服务器的正常工作与否。现有的云平台中都有相应的监控手段,在检测到虚拟机故障或者物理服务器有问题,可以手动对应物理服务器上的虚拟机迁移(冷迁移/热迁移)到其他正常工作的物理服务器中,无法自动化。在整个迁移和配置过程中,防护功能失效,无法做到不中断防护。
因此,当前的所谓云WAF,无法做到及时的自动化故障检测、防护能力的迁移与WAF防护能力的不中断。
发明内容
鉴于目前互联网应用技术领域存在的上述不足,本发明提供的云计算模式下的高可靠性WEB安全防护实现方法,实现了云WAF的自动化故障检测、防护能力的迁移及不中断安全防护的功能。
为达到上述目的,本发明的实施例采用如下技术方案:
云计算模式下的高可靠性WEB安全防护实现方法,所述云计算模式下的高可靠性WEB安全防护实现方法包括以下步骤:
在云平台部署Web应用防火墙(以下简称WAF)以创建云WAF;
通过云端智能监控机制结合云WAF管理器进行双重监控;
进行故障服务器上的云WAF的智能迁移;
进行云WAF进程故障后的动态重建;
进行故障云WAF的不中断服务。
依照本发明的一个方面,所述进行故障服务器上的云WAF的智能迁移包括:
检测到物理服务器发生故障;
调用云平台的相应接口,对物理服务器的各项指标智能统计与分析,选择最适合承载新的云WAF的多台或者一台物理服务器;
将故障服务器上的所有云WAF智能迁移至选择的其他服务器上。
依照本发明的一个方面,所述进行云WAF进程故障后的动态重建包括:
检测到云WAF本身的进程发生故障;
从预先创建的云WAF资源池分配一个WAF实例;
调用云WAF管理器相应接口下发云WAF的相应防护配置;
启动相应的安全防护进程,进行正常的安全防护。
依照本发明的一个方面,所述进行故障云WAF的不中断服务包括:
创建云WAF时选择HA(High Availability)主备模式部署策略;
主备之间在特定的HA网络定时发送心跳,感知对方是否存在;
通过监控发现云WAF需要故障迁移或者加速重建;
主WAF故障的时候能够进行热备切换,备故障则再加速重建;
云WAF管理器将流量持续引流到主WAF上防护,保证服务不间断。
依照本发明的一个方面,所述云WAF的资源池,有相应的回收和再申请机制。
本发明实施的优点:本发明所述的云计算模式下的高可靠性WEB安全防护实现方法包括:在云平台部署WAF以创建云WAF;通过云端智能监控机制结合云WAF管理器进行双重监控;进行故障服务器上的云WAF的智能迁移;进行云WAF进程故障后的动态重建;进行故障云WAF的不中断服务;在云WAF所在的物理服务器出现故障,能够通过云平台的迁移能力,将安全防护业务迁移至合适的物理服务器,持续提供安全防护能力,在云WAF进程出现故障,能够在资源池中快速启动一个新的同样功能的云WAF,将配置重新下发或者通过共享配置的方式,能够加速创建新的云WAF,云WAF可以工作在HA模式,主备WAF可以无缝切换,保证上层业务的不中断服务。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述的云计算模式下的高可靠性WEB安全防护实现方法示意图;
图2为本发明所述的故障服务器上的云WAF的智能迁移示意图;
图3为本发明所述的云WAF进程故障后的动态重建示意图;
图4为本发明所述的故障云WAF的不中断服务示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1、图2、图3和图4所示,云计算模式下的高可靠性WEB安全防护实现方法,所述云计算模式下的高可靠性WEB安全防护实现方法包括以下步骤:
步骤S1:在云平台部署WAF以创建云WAF;
步骤S2:通过云端智能监控机制结合云WAF管理器进行双重监控;
步骤S3:进行故障服务器上的云WAF的智能迁移;
所述步骤S3进行故障服务器上的云WAF的智能迁移的具体实施方式可为:根据步骤S2通过云端智能监控机制结合云WAF管理器进行双重监控,可检测到物理服务器是否有发生故障;当检测到有物理服务器发生故障时,调用云平台的相应接口,对物理服务器的各项指标加权平均,选择最适合承载新的云WAF的多台或者一台物理服务器;将故障服务器上的所有云WAF智能迁移至其他服务器上。
步骤S4:进行云WAF进程故障后的动态重建;
所述步骤S4进行云WAF进程故障后的动态重建的具体实施方式可为:根据步骤S2通过云端智能监控机制结合云WAF管理器进行双重监控,可检测到云WAF本身的进程是否发生故障;当检测到云WAF本身的进程发生故障时,从预先创建的云WAF资源池分配一个WAF实例;调用云WAF管理器相应接口下发云WAF的相应防护配置;启动相应的安全防护进程,进行正常的安全防护。
在实际应用中,对于云WAF的资源池,有相应的回收和再申请机制。双重职能监控机制发现云WAF故障后,从资源池中申请一个云WAF,然后重新下发配置,保证进程故障的云WAF能够再重新提供服务。云WAF管理器还需要调用云平台接口对故障的云WAF进行回收,重新回到资源池中。当资源池中的WAF数量超过预先分配的阈值的时候,可以调用云WAF管理器的相应接口,向云平台申请将资源池规模进行适当的扩容。资源池会占用一定的平台资源,需要在资源和速度做一个权衡。
步骤S5:进行故障云WAF的不中断服务。
所述步骤S5进行故障云WAF的不中断服务的具体实施方式可为:
创建云WAF时选择HA(High Availability)主备模式部署策略;
主备之间在特定的HA网络定时发送心跳,感知对方是否存在;
通过监控发现云WAF需要故障迁移或者加速重建;
主WAF故障的时候能够进行热备切换,备故障则再加速重建;
云WAF管理器将流量持续引流到主WAF上防护,保证服务不间断。
在实际应用中,在创建云WAF的时候,可以选取是否是HA模式,如果采取HA策略,则会在不同的物理服务器上创建两个云WAF实现同样的防护能力,但是只有一个是Active状态。云WAF之间通过HA网络进行定时心跳检测和主备协商,备WAF生主整个过程完全动态。云WAF管理器也可以更改云WAF的工作模式,如果由HA模式更新为单例模式,则会进行资源池的回收动作,将备云WAF会收到资源池中。
本发明所述的云计算模式下的高可靠性WEB安全防护实现方法,着重考虑云计算模式下的高可靠性WEB安全防护技术,与现有的纯粹的虚拟机部署WAF相比,支持双智能监控自动化故障检测、动态迁移、资源池加速重建和不中断服务的特点。能够保证在物理服务器和WAF本身故障,持续保证WAF的安全防护能力。
在物理服务器故障时,能够对其上承载的云WAF进行动态迁移,迁移至资源利用率较低,正常服务的物理服务器,后端安全防护的配置可以一同迁移或者重新下发,保证迁移后,能够进行正常防护。
在云WAF进程故障时,需要对云WAF进行重建,然后重新下发配置或者采用共享配置的方式,保证重建后能够进行正常防护。对于重建,采用WAF资源池的方式进行加速重建,只需要下发配置,节省虚拟机创建时间。
提供云WAF的不中断服务,在创建云WAF的时候,可选其工作模式为HA,在主WAF本身或者所在物理服务器出现故障的时候,备WAF能够无缝切换,保证上层的防护业务不中断。
本发明实施的优点:本发明所述的云计算模式下的高可靠性WEB安全防护实现方法包括:在云平台部署WAF以创建云WAF;通过云端智能监控机制结合云WAF管理器进行双重监控;进行故障服务器上的云WAF的智能迁移;进行云WAF进程故障后的动态重建;进行故障云WAF的不中断服务;在云WAF所在的物理服务器出现故障,能够通过云平台的迁移能力,将安全防护业务迁移至合适的物理服务器,持续提供安全防护能力,在云WAF进程出现故障,能够在资源池中快速启动一个新的同样功能的云WAF,通过共享配置的方式,能够加速创建新的云WAF,云WAF可以工作在HA模式,主备WAF可以无缝切换,保证上层业务的不中断服务。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域技术的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (5)
1.云计算模式下的高可靠性WEB安全防护实现方法,其特征在于,所述云计算模式下的高可靠性WEB安全防护实现方法包括以下步骤:
在云平台部署WAF以创建云WAF;
通过云端智能监控机制结合云WAF管理器进行双重监控;
进行故障服务器上的云WAF的智能迁移;
进行云WAF进程故障后的动态重建;
进行故障云WAF的不中断服务。
2.根据权利要求1所述的云计算模式下的高可靠性WEB安全防护实现方法,其特征在于,所述进行故障服务器上的云WAF的智能迁移包括:
检测到物理服务器发生故障;
调用云平台的相应接口,对物理服务器的各项指标智能统计与分析,选择最适合承载新的云WAF的多台或者一台物理服务器;
将故障服务器上的所有云WAF智能迁移至选择的其他服务器上。
3.根据权利要求1所述的云计算模式下的高可靠性WEB安全防护实现方法,其特征在于,所述进行云WAF进程故障后的动态重建包括:
检测到云WAF本身的进程发生故障;
从预先创建的云WAF资源池分配一个WAF实例;
调用云WAF管理器相应接口下发云WAF的相应防护配置;
启动相应的安全防护进程,进行正常的安全防护。
4.根据权利要求1所述的云计算模式下的高可靠性WEB安全防护实现方法,其特征在于,所述进行故障云WAF的不中断服务包括:
创建云WAF时选择HA(High Availability)主备模式部署策略;
主备之间在特定的HA网络定时发送心跳,感知对方是否存在;
通过监控发现云WAF需要故障迁移或者加速重建;
主WAF故障的时候能够进行热备切换,备故障则再加速重建;
云WAF管理器将流量持续引流到主WAF上防护,保证服务不间断。
5.根据权利要求1至4之一所述的云计算模式下的高可靠性WEB安全防护实现方法,其特征在于,所述云WAF的资源池,有相应的回收和再申请机制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610154653.4A CN107204963A (zh) | 2016-03-18 | 2016-03-18 | 云计算模式下的高可靠性web安全防护实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610154653.4A CN107204963A (zh) | 2016-03-18 | 2016-03-18 | 云计算模式下的高可靠性web安全防护实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107204963A true CN107204963A (zh) | 2017-09-26 |
Family
ID=59903940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610154653.4A Pending CN107204963A (zh) | 2016-03-18 | 2016-03-18 | 云计算模式下的高可靠性web安全防护实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107204963A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413070A (zh) * | 2018-10-30 | 2019-03-01 | 郑州市景安网络科技股份有限公司 | 一种waf业务开通方法及相关装置 |
CN109787847A (zh) * | 2019-04-01 | 2019-05-21 | 山东浪潮云信息技术有限公司 | 一种云防火墙全生命周期自动化管理系统及方法 |
CN111984363A (zh) * | 2019-05-21 | 2020-11-24 | 顺丰科技有限公司 | Waf管理方法和系统 |
CN112187735A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102693177A (zh) * | 2011-03-23 | 2012-09-26 | 中国移动通信集团公司 | 虚拟机故障诊断方法、处理方法及其装置和系统 |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
CN103152419A (zh) * | 2013-03-08 | 2013-06-12 | 中标软件有限公司 | 一种云计算平台的高可用集群管理方法 |
US20140259145A1 (en) * | 2013-03-08 | 2014-09-11 | Barracuda Networks, Inc. | Light Weight Profiling Apparatus Distinguishes Layer 7 (HTTP) Distributed Denial of Service Attackers From Genuine Clients |
CN105391703A (zh) * | 2015-10-28 | 2016-03-09 | 南方电网科学研究院有限责任公司 | 一种基于云的web应用防火墙系统及其安全防护方法 |
-
2016
- 2016-03-18 CN CN201610154653.4A patent/CN107204963A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102693177A (zh) * | 2011-03-23 | 2012-09-26 | 中国移动通信集团公司 | 虚拟机故障诊断方法、处理方法及其装置和系统 |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
CN103152419A (zh) * | 2013-03-08 | 2013-06-12 | 中标软件有限公司 | 一种云计算平台的高可用集群管理方法 |
US20140259145A1 (en) * | 2013-03-08 | 2014-09-11 | Barracuda Networks, Inc. | Light Weight Profiling Apparatus Distinguishes Layer 7 (HTTP) Distributed Denial of Service Attackers From Genuine Clients |
CN105391703A (zh) * | 2015-10-28 | 2016-03-09 | 南方电网科学研究院有限责任公司 | 一种基于云的web应用防火墙系统及其安全防护方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413070A (zh) * | 2018-10-30 | 2019-03-01 | 郑州市景安网络科技股份有限公司 | 一种waf业务开通方法及相关装置 |
CN109787847A (zh) * | 2019-04-01 | 2019-05-21 | 山东浪潮云信息技术有限公司 | 一种云防火墙全生命周期自动化管理系统及方法 |
CN109787847B (zh) * | 2019-04-01 | 2021-12-10 | 浪潮云信息技术股份公司 | 一种云防火墙全生命周期自动化管理方法 |
CN111984363A (zh) * | 2019-05-21 | 2020-11-24 | 顺丰科技有限公司 | Waf管理方法和系统 |
CN111984363B (zh) * | 2019-05-21 | 2024-04-12 | 顺丰科技有限公司 | Waf管理方法和系统 |
CN112187735A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI603266B (zh) | 虛擬機器之資源調整方法及系統 | |
US8521703B2 (en) | Multiple node/virtual input/output (I/O) server (VIOS) failure recovery in clustered partition mobility | |
CN103346903B (zh) | 一种双机备份的方法和装置 | |
US9753761B1 (en) | Distributed dynamic federation between multi-connected virtual platform clusters | |
CN106528327B (zh) | 一种数据处理方法以及备份服务器 | |
CN103778031B (zh) | 一种云环境下的分布式系统多级故障容错方法 | |
CN103152414B (zh) | 一种基于云计算的高可用系统 | |
CN107204963A (zh) | 云计算模式下的高可靠性web安全防护实现方法 | |
CN103440160A (zh) | 虚拟机恢复方法和虚拟机迁移方法以及装置与系统 | |
CN104484243B (zh) | 一种虚拟机容错技术和高可用集群技术结合的高可靠系统装置和方法 | |
CN105159798A (zh) | 一种虚拟机的双机热备方法、双机热备管理服务器和系统 | |
CN103457775A (zh) | 一种基于角色的高可用虚拟机池化管理系统 | |
CN112948063B (zh) | 云平台的创建方法、装置、云平台以及云平台实现系统 | |
CN104794028A (zh) | 一种容灾处理方法、装置、主用数据中心和备用数据中心 | |
CN104239548A (zh) | 数据库容灾系统和数据库容灾方法 | |
CN108469996A (zh) | 一种基于自动快照的系统高可用方法 | |
CN106681858A (zh) | 一种虚拟机数据容灾方法及管理装置 | |
CN104317803A (zh) | 数据库集群的数据存取结构和方法 | |
CN111181780A (zh) | 基于ha集群的主机池切换方法、系统、终端及存储介质 | |
CN103902401B (zh) | 基于监控的虚拟机容错方法及装置 | |
CN106612314A (zh) | 基于虚拟机实现软件定义存储的系统 | |
CN103973478A (zh) | 基于资源池技术的电网信息灾备系统及灾备方法 | |
CN110046064B (zh) | 一种基于故障漂移的云服务器容灾实现方法 | |
CN103856502B (zh) | 实现虚拟机镜像文件热迁移的方法和nas集群系统 | |
CN105391790A (zh) | 类RAC One Node的数据库高可用方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170926 |
|
RJ01 | Rejection of invention patent application after publication |